Blog Home

2021年にJFrogはセキュリティを新たな高みへと飛躍しました

By Asaf Karas, JFrog Security CTO

6 min read

JFrog Security and DevSecOps 2021

セキュリティは今やDevOpsチームにとって重要な「必須」となっており、JFrogは2021年に、すでに強固なセキュリティ機能を持つプラットフォームを大幅に拡張しました。このブログでは昨年の主な進歩を振り返り、2022年に向けての展望を語ります。

私たちの目標:ソフトウェアのサプライチェーンに対する攻撃がより攻撃的で巧妙になっている今、私たちがどのようにしてお客様にSDLC全体に対する最高のDevOpsセキュリティとコンプライアンス保護を提供しているかを説明することです。

2021: チャレンジングな年

パンデミックの混乱が2021年にまで及んだため、DevOpsチームはリモートでの作業を続けなければならず、柔軟性と拡張性が成功の鍵となりました。この課題にサプライチェーン攻撃など、ハッキングが上昇し続け、ソフトウェアの開発と配布に支障をきたしました。

supply chain attacj vs direct attack diagram

その結果、DevOpsチームは特に世界的なサイバーセキュリティの脅威が「国家のサイバーセキュリティ強化に関するホワイトハウス大統領令」のような新しい規制や義務を各国政府に要求したため、深く掘り下げて新しいソリューションを探す必要に迫られました。

10年に一度といわれる重大なゼロデイ脆弱性が最も人気のあるソフトウェアの一つであるLog4jに発生して、今年が締めくくられました。これは簡単に悪用される重大な脆弱性が一般的なオープンソースソフトウェアに依然として存在することが明らかになりました。 

Log4jから得た重要な教訓は、どの本番システムがこのような脆弱性の影響を受けているかを迅速に把握することの重要性です。最終的に、この質問は配布されるバイナリやアーティファクトをスキャンすることでしか、真実の答えは得られないということがわかりました。

Log4jのような現実的な脅威に加え、過大評価され、不当に重要度が高いとされる問題が開発者のもとに殺到し続けました。開発者、DevOps、セキュリティチームはコンテキストベースの分析を通じて、最も重要な脆弱性、コンプライアンス違反、その他のセキュリティ上の欠陥をピンポイントで特定できるスマートな優先順位付けソリューションをますます必要とするようになっています。

JFrogができること

JFrog DevOps Platformと特にXrayソフトウェア構成分析ソリューションにより、コーディング、ビルド、テスト、配布、本番監視など、ソフトウェアのリリースサイクル全体を保護します。これらの自動化されたセキュリティおよびコンプライアンスチェックは全ての開発およびリリースプロセスに組み込まれています。その結果、セキュリティに対して比類なき可視性が得られ、SDLCに影響を及ぼす最も重要な脅威を迅速に特定できます。

つまり、JFrogを使う事で開発者、セキュリティ、DevOpsの各チームはセキュリティの専門家でなくてもセキュリティやコンプライアンスに関する問題を迅速かつ継続的に検出し、優先順位をつけ、修正できるようになるのです。

大きな進歩

2021年はXrayへの大規模な投資を継続し、セキュリティ企業の買収など、大躍進を遂げました。詳しくはこちらをご覧ください。

  • Log4jの危機に注目が集まる中、JFrogはJFrog ArtifactoryとXrayを使用してこの脅威を検出、軽減、ブロックする方法を提供し、さらにこの問題についての継続的な技術的なカバレッジを行いました。Log4j脆弱性リソースをご覧ください。
  • セキュリティ製品のリーダーであるVdooの買収により、JFrogは一流のセキュリティ研究者チームと世界レベルのセキュリティ技術の両方を獲得し、以下のような機能を備えています。
    • 重要なセキュリティギャップの改善を優先順位付けするためのコンテキストに基づく脅威分析
    • ゼロデイ脆弱性の自動検出
    • ソフトウェアサプライチェーンにおける悪意のあるパッケージの検出 
    • 開発者向けにステップバイステップで緩和策をアドバイスするCVEデータを充実
    • C/C++バイナリパッケージがどのようにコンパイルされたかに関係なく検出
    • デバイス/IoT上の組み込みソフトウェアの解析およびファームウェアのスキャン 
    • 重要なCVEに関する研究に裏打ちされた情報と、その解決・緩和方法に関するガイダンスを含む詳細かつ実用的な脆弱性データベース
    • 構成リスク、シークレット、実装ギャップの検出
    • 組込み機器向けリアルタイムランタイム保護
    • 既知および未知のセキュリティリスクを特定するためのリサーチに基づいたより深いカバレッジ
    • 40以上のセキュリティ標準と規制へのセキュリティリスクとマッチング
  • Xrayには以下のような重要な機能が追加されました。
    • CVE脆弱性のコンテキストと適用性分析と優先順位付け
    • 開発者へ段階的に緩和策をアドバイスするCVEデータの強化
    • Jiraとのネイティブなインテグレーション
    • Git依存性スキャン
    • SPDX/CycloneDX標準SBOMフォーマットのサポート
  • JFrog ArtifactoryとXrayは米国国防総省のIronBank認証を取得しました。これは公共部門のお客様にとって大きなメリットのある重要なマイルストーンです。 
  • また、政府機関のお客様にとって重要なのはJFrog PlatformがAWSおよびAzureの政府向けクラウドで利用可能になり、これらのパブリッククラウド上に直接ArtifactoryとXrayを容易かつ安全に展開できるようになりました。
  • XrayはRedHat Vulnerability Scanner 認証を取得しました。これはXrayが特定した脆弱性とライセンスのコンプライアンスデータが正確であり、リスク評価が信頼できる認定ソースに基づいているという保証を組織に提供するものです。 

Xray achieved RedHat’s Vulnerability Scanner Certification

  • XrayとSplunk SIEMのインテグレーションにより、DevSecOps チームはSplunk Enterpriseを使用してXrayから脆弱性とライセンスコンプライアンス違反データの収集、分析をできるようになりました。
  • 最後にXrayはDevOps.comのBest DevSecOps Solution of 2021賞を受賞しました。編集者は「JFrogはサイバーセキュリティ、DevSecOps、セキュアデバイスフリート管理、IoTにおいて、その影響力と専門性を拡大しました。」と発言しています。

Xray won DevOps.com’s Best DevSecOps Solution of 2021 award

次は?

2022年、強固なセキュリティとコンプライアンス体制の維持はDevOpsチームにとって引き続き課題となるでしょう。だからこそJFrogは当社のプラットフォーム、特にXrayのセキュリティ機能を強化し続けているのです。 

2022年には以下のような分野ですでに素晴らしい取り組みが行われています。

  • 組込みソフトウェア、モバイルアプリ、IoT/エッジデバイスの保護
  • ソフトウェアの構成上の問題やシークレットを検出
  • CycloneDXの幅広いサポート、特に新しい1.4バージョンの仕様について
  • 全体的、コンテキスト分析を行い、問題の改善ガイダンスを提供
  • 新しい、より良いダッシュボードとレポートを生成し、セキュリティやコンプライアンスレベルをより明確に把握
  • その他

ぜひご期待ください。

Popular Tags